Threat Database Malware SHARPEXT ब्राउजर विस्तार

SHARPEXT ब्राउजर विस्तार

साइबर अपराधीहरूले आफ्ना पीडितहरूको इमेल सङ्कलन गर्न SHARPEXT नामक भ्रष्ट ब्राउजर विस्तार प्रयोग गरिरहेका छन्। अपरेशन स्वार्थका व्यक्तिहरू विरुद्ध अत्यधिक लक्षित छ। अन्य भ्रष्ट विस्तारहरू जस्तै, SHARPEXT ले प्रयोगकर्ता नाम र पासवर्डहरू प्राप्त गर्ने लक्ष्य राख्दैन। यसको सट्टा, यदि यन्त्रमा पूर्ण रूपमा स्थापित भयो भने, खतराले लक्ष्यको वेबमेल खाताबाट प्रत्यक्ष रूपमा निरीक्षण गर्न र यसलाई प्रयोग गरिरहँदा डेटा निकाल्न सक्छ। एक्सटेन्सनले Gmail र AOL दुवैबाट डाटा निकाल्न सक्छ।

आक्रमण अभियानको बारेमा विवरणहरू खुलासा गर्ने अन्वेषकहरूले यसको श्रेय उत्तर कोरियाली खतरा अभिनेतालाई दिन्छन् जुन उनीहरूले शार्पटन्गको रूपमा ट्र्याक गर्छन्। उनीहरूको रिपोर्ट अनुसार, समूहका केही गतिविधिहरू सार्वजनिक रूपमा ज्ञात साइबर अपराध समूह किमसुकीसँग ओभरल्याप हुन्छन्। अहिलेसम्म, यो पुष्टि भएको छ कि SharpTonge ले सामान्यतया संयुक्त राज्य अमेरिका, EU र दक्षिण कोरियाका संगठनहरू र व्यक्तिहरूलाई लक्षित गर्दैछ। छानिएका पीडितहरू सामान्यतया उत्तर कोरियाको रणनीतिक चासोका विषयहरूमा संलग्न हुन्छन्, जस्तै आणविक गतिविधिहरू, हतियार प्रणाली र थप।

SHARPEXT को विश्लेषण

SHARPEXT मालवेयर सेप्टेम्बर 2021 को शुरुमा समूहको धम्कीपूर्ण शस्त्रागारमा थपिएको विश्वास गरिन्छ। धम्कीको प्रारम्भिक संस्करणहरूले मात्र गुगल क्रोम ब्राउजरहरूलाई संक्रमित गर्न सक्षम थिए, तर पछिल्लो SHARPEXT 3.0 नमूनाहरूले Edge र Whale ब्राउजरहरूमा आफैंलाई burrow गर्न सक्छन्। राम्रो। ह्वेल एक क्रोमियम-आधारित ब्राउजर हो जुन दक्षिण कोरियाली कम्पनी नेभर द्वारा विकसित गरिएको हो र प्रायः दक्षिण कोरिया भित्र प्रयोग गरिन्छ।

SHARPEXT खतरा पहिले नै उल्लङ्घन गरिएका उपकरणहरूमा तैनात गरिएको छ। यसलाई सक्रिय गर्न सक्नु अघि, खतरा अभिनेताहरूले म्यानुअल रूपमा संक्रमित प्रणालीबाट निश्चित आवश्यक फाइलहरू बाहिर निकाल्नु पर्छ। पछि, SHARPEXT म्यानुअल रूपमा कस्टम-निर्मित VBS स्क्रिप्ट मार्फत स्थापना हुन्छ। मालवेयरलाई ब्राउजरको 'प्राथमिकताहरू' र 'सुरक्षित प्राथमिकताहरू' फाइलहरू आक्रमणको कमाण्ड-एन्ड-कन्ट्रोल (C2, C&C) सर्भरबाट पुन: प्राप्त गरिएका फाइलहरूसँग प्रतिस्थापन गर्न आवश्यक छ। यदि सफल भयो भने, ब्राउजरले ' %APPDATA%\Roaming\AF ' फोल्डरबाट स्वचालित रूपमा मालवेयर लोड गर्न अगाडि बढ्नेछ।

खतराको विकास

पहिलेको SHARPEXT संस्करणहरूले तिनीहरूको प्राथमिक कार्यक्षमता आन्तरिक रूपमा बोक्यो। यद्यपि, पछि धम्कीको पुनरावृत्तिहरूले C2 सर्भरमा धेरै आवश्यक कोडहरू भण्डारण गरिएको देखेको छ। यो परिवर्तनले खतरा कर्ताहरूलाई दुई मुख्य फाइदाहरू प्रदान गरेको छ - उनीहरूले अब नयाँ कोडलाई पहिले उल्लङ्घन गरिएको यन्त्रमा डेलिभर नगरीकन एक्सटेन्सन कोडलाई गतिशील रूपमा अद्यावधिक गर्न सक्छन्, जबकि एकै समयमा खतरामा नै रहेको सम्झौता कोडलाई घटाउँदै। नतिजाको रूपमा, एन्टी-मालवेयर समाधानहरूद्वारा SHARPEXT को पत्ता लगाउन धेरै गाह्रो भएको छ। धम्कीले प्रयोगकर्ताको लग-इन सत्र भित्र जानकारी सङ्कलन गर्दछ, पीडितको इमेल प्रदायकबाट घुसपैठ लुकाउने तथ्यको कारण पत्ता लगाउनु पहिले नै चुनौतीपूर्ण थियो।

ट्रेन्डिङ

धेरै हेरिएको

लोड गर्दै...